【技术实现步骤摘要】
基于过程管控和人工智能的自动识别横向移动的方法
[0001]本专利技术涉及网络安全、SOC(Security operation center)、过程管控、人工智能、横向移动的
,尤其涉及到基于过程管控和人工智能的自动识别横向移动的方法。
技术介绍
[0002]已有的安全威胁检测方法假设入侵成功,并将重点放在单个事件上。然而,在最近的网络攻击特别是复杂的攻击中,单个黑客发起的一场攻击的战役,通常由多个较小的、不易察觉的攻击所组成。检测这些攻击可能具有挑战性,因为一场战役可能会随着时间的推移而发展,包括多个阶段,每个阶段都旨在挫败防御,并在不同的时间发生。
[0003]网络空间中发生的所有攻击都有一种模式,可以被描述为一系列事件,这个一系列事件可以被划分为不同的阶段,也被称为过程管控模型(如图1所示)。网络攻击,从侦察和识别网络中的目标开始。然后是制造武器化的有效载荷。有效载荷的武器化通常采取恶意电子邮件和附件的形式,这些邮件和附件被发送给感兴趣的目标机器。攻击在交付之后开始,恶意代码在交付之后被触发。虽然恶意代...
【技术保护点】
【技术特征摘要】
1.基于过程管控和人工智能的自动识别横向移动的方法,其特征在于,能够自动检测出恶意的RDP会话,每一次网络攻击在终止之前都会经历几个阶段,横向移动是其中一个特别重要的阶段,远程桌面协议RDP是横向移动使用的一种主要工具,用于成功向未经授权的主机进行身份认证,该主机会在主机和Windows事件日志上留下足迹,并通过将机器学习模型运用于所述的Windows事件日志中的RDP会话,鉴别RDP会话是否为恶意的,所述方法,还包括如下步骤:(1)提取特征,包括的特征如下:User(Usr): 用于RDP身份认证的用户名;Source(Src): 发起RDP身份认证的源主机;Destination(Dst): RDP身份认证的目标主机;Session duration: RDP会话的持续时间(秒);User time difference: 包含用户两个连续RDP身份认证事件和的时间差;Source time difference: 包含源主机的两个连续RDP身份认证事件和的时间差;Destination time difference: 包含目标主机的两个连续RDP身份认证事件和的时间差;Mean of session duration for user: 包含用户的所有RDP会话的平均持续时间;Mean of session duration for sou...
【专利技术属性】
技术研发人员:林薇,
申请(专利权)人:南京联成科技发展股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。